O programador Walter Delgatti Neto, conhecido como o hacker da “Vaza Jato”, conseguiu emitir um mandado de prisão falso contra o ministro do Supremo Tribunal Federal (STF) Alexandre de Moraes. Para essa proeza, ele explorou um bug no GitHub para acessar o Banco Nacional de Mandados de Prisão (BNMP) e diversas brechas de cibersegurança do Conselho Nacional de Justiça (CNJ).
Pelo menos, é o que o hacker contou, num depoimento em 2 de agosto, de acordo com uma reportagem do jornal Folha de S. Paulo, publicada nesta terça-feira (15).
O ministro Alexandre de Moraes avaliou, em decisão do STF, que o relato de Delgatti encaixa com perícias e investigações realizadas pela Polícia Federal.
Os servidores confiavam demais que o sistema não seria invadido.
Trecho de depoimento de Walter Delgatti Neto, programador conhecido como o hacker da “Vaza Jato”
O programador inseriu documentos falsos no sistema entre setembro de 2022 e janeiro de 2023. Além do mandado de prisão contra Moraes, o CNJ encontrou 11 alvarás de soltura em favor de militantes bolsonaristas em 4 de janeiro, todos emitidos pelo programador.
O programador começou sua invasão pelo repositório do CNJ no GitHub. Essa plataforma hospeda trechos de código de computação para viabilizar o desenvolvimento coletivo de software.
Nessa plataforma, o hacker encontrou arquivos nomeados como “secrets”. Eles continham chaves e tokens de acesso aos sistemas do CNJ.
Além do GitHub, o CNJ hospeda seus códigos no GitLab, plataforma concorrente, para atender sua política de transparência.
Neto disse que ao menos um dos sistemas do CNJ ficou dois anos sem atualização. Graças a essas brechas, o hacker acompanhou conversas de servidores técnicos num canal interno por três meses.
Em seguida, ele conseguiu login e senha de um engenheiro de software do CNJ. As mesmas palavras-chave funcionaram na intranet do conselho, onde também não havia verificação em dois fatores.
Essa, digamos, manobra deu a Delgatti acesso a todas as senhas de bancos de dados. O próximo passo foi conseguir acesso à conta do consultor de TI no Sistema de Controle de Acesso, que credencia permissões a outros sistemas.
Por fim, Delgatti criou uma conta falsa com permissão de magistrado no BNMP e no Sisbajud, sistema que envia as ordens judiciais.
Em 2021, o CNJ instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário. No entanto, os erros apontados pelo hacker em seu depoimento apontam desconformidade com essa estratégia.
Após o “ataque” do hacker, o CNJ revogou senhas de acesso a todos os sistemas e instituiu um novo padrão de segurança.
Em nota enviada ao jornal, o CNJ informou que implementou todas as medidas necessárias para fortalecimento de seu ambiente cibernético. Já o GitHub se negou a comentar sobre o caso.
Fonte: Olhar Digital / Pedro Borges Spadoni
Copyright © 2023. Todos os direitos reservados. Ascenda Digital Mídia LTDA.
